3.2.1 IT审计基础
略。
IT审计对组织IT目标的达成以及组织战略目的实现具备重要的作用,这与人们通常所说的 传统审计的重要性概念不同。传统审计的重要性是指被审计单位会计报表中错报或漏报的严重 程度,这一严重程度在特定环境下可能影响会计报表使用者的判断或决策。传统审计在量上表 现为审计重要性水平,也就是被审计单位财务报表中可能存在的不影响报表使用者做出决策和判断的错报及漏报最大限额。IT审计重要性是指IT审计风险(固有风险、控制风险、检查风险)对组织影响的严重程度,如:财务损失、业务中断、失去客户信任、经济制裁等。
1. IT审计定义
IT审计经过多年的发展,国内外机构对IT审计从不同角度进行了描述,目前主流的IT审计定义如表3-3所示。
表3-3 主流的IT审计定义
2. IT审计目的
IT审计的目的是指通过开展IT审计工作,了解组织IT系统与IT活动的总体状况,对组织是否实现IT目标进行审查和评价,充分识别与评估相关IT风险,提出评价意见及改进建议,促进组织实现IT目标。
组织的IT目标主要包括:①组织的IT战略应与业务战略保持一致;②保护信息资产的安全及数据的完整、可靠、有效:③提高信息系统的安全性、可靠性及有效性;④合理保证信息系统及其运用符合有关法律、法规及标准等的要求。
3. IT审计范围
一般来说,IT审计范围需要根据审计目的和投入的审计成本来确定。在确定审计范围时,除了考虑前面提及的审计内容外,还需要明确审计的组织范围、物理位置以及信息系统相关逻辑边界。IT审计范围的确定如表3-4所示。
表3-4 IT审计范围的确定
在实际的应用实践中,审计人员在实施IT审计项目前,应先对组织与信息系统相关的总体情况进行了解和风险评估,确定主要IT风险,如与环境控制相关的风险、与系统相关的风险、与数据相关的风险等,然后根据确定的风险来判断哪些控制、流程对组织的影响比较大,并结合审计项目预计的时间、配备的审计力量等来确定重点审计范围。
4. IT审计人员
根据GB/T 34690.4《信息技术服务治理第4部分:审计导则》,对IT审计人员的要求包括职业道德、知识、技能、资格与经验、专业胜任能力及利用外部专家服务等方面,如表3-5所示。
表3-5 IT审计人员要求
5. IT审计风险
IT审计风险主要包括固有风险、控制风险、检查风险和总体审计风险。固有风险、控制风险、检查风险的内容,如表3-6所示。
表3-6 有风险、控制风险和检查风险的内容
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险,减少或控制所检查领域的审计风险,比如采取合适的审计工具,在完成审计时把总体审计风险控制在足够低的水平之内,以达到预期保证水平。
审计风险也用于描述审计人员在执行审计任务时可接受的风险水平。审计人员可通过设定目标风险水平并调整审计工作量,以合适的审计成本满足最小化总体审计风险要求。